39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Trellix сообщают о новых атаках связанной с Индией APT DoNot Team (APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger), нацеленных на структуры МИД Европы с помощью вредоносного ПО под названием LoptikMod с целью кибершпионажа.
DoNot APT действует с 2016 года и известна использованием вредоносного ПО для Windows, в том числе бэкдоров, таких как YTY и GEdit, которые часто распространяются через фишинговые письма или вредоносные документы.
Группа обычно таргетируется на государственные структуры, министерства иностранных дел, оборонные организации и НПО, преимущественно в Южной Азии и Европе.
Цепочка атак начинается с фишинговых писем, цель которых - заставить получателей нажать на ссылку Google Drive для загрузки RAR-архива, открывая путь для развертывания LoptikMod, которое использовалось группировкой с 2018 года.
По данным Trellix, для рассылки сообщении задействуются с адреса Gmail, мимикрирующие под должностных лиц министерства обороны, а в теме письма упоминается визит итальянского военного атташе в Дакку, Бангладеш.
Для повышения легитимности особое внимание уделяется к деталям: в одном из писем применялось форматирование HTML с кодировкой UTF-8 для правильного отображения специальных символов, таких как «é» в слове «Attaché».
Архив RAR, распространяемый по электронной почте, содержит вредоносный исполняемый файл, имитирующий PDF-документ, открытие которого приводит к запуску трояна удаленного доступа LoptikMod.
Закрепление на хосте реализуется с помощью запланированных задач.
Он подключается к удаленному серверу для отправки системной информации, получения дополнительных команд, загрузки модулей и кражи данных.
LoptikMod также использует обфускацию ASCII-кода, затрудняя выполнение в виртуальных средах и обеспечивая уклонение от анализа, что значительно осложняет определение назначения инструмента.
Более того, злоумышленник обеспечивает работу в скомпрометированной системе лишь одного экземпляра вредоносного ПО.
На момент исследования Trellix сервер C2, использовавшийся в этой кампании, был неактивен, в связи с чем изучить точный набор передаваемых команд на зараженные конечные точки и возвращаемых в качестве ответов данных не представилось возможным.
По всей видимости, инфраструктура либо временно отключена, либо злоумышленник переехал на совершенно иной сервер.
Тем не менее, APT-операции DoNot характеризуются долгосрочным доступом и кражей данных, а основная активность сфокусирована на Южной Азии, включая Пакистан, Шри-Ланка и Бангладеш.
Новый инцидент затрагивает теперь Европу, что свидетельствует о явном расширении их развединтересов на европейском направлении.
Хотя как отмечают в Trellix, DoNot APT в единичных случая нападал на европейцев: в 2016 году их жертвами становились ряд британских компаний и телеком-оператор в Норвегии.
Однако по результатам нового расследования можно констатировать эскалацию угрозы, о чем свидетельствует первое задокументированное использование LoptikMod в отношении европейского госсектора.
Как полагают исследователи, APT реализует переход от конъюнктурных атак к полноформатному сбору дипломатической информации, что указывает на расширение их оперативных возможностей и соответственно разведзадач со стороны кураторов.
Но будем посмотреть.
Группа исследователей из Университета Торонто реализовали практическую демонстрацию GPUHammer - атаку Rowhammer на графические процессоры, которая приводит к снижению точности моделей машинного обучения, доказав возможность и осуществимость подобных атак.
Метод атаки Rowhammer известен уже более десяти лет.
Он заключается в многократном доступе (или «ударе») к строке памяти DRAM, что может вызвать электрические помехи, приводящие к инвертированию битов в соседних областях.
За прошедшие годы исследователи продемонстрировали, что атаки Rowhammer могут привести к повышению привилегий, несанкционированному доступу к данным, повреждению данных и нарушению изоляции памяти (в виртуализированных средах).
Однако до сих пор атаки Rowhammer были сосредоточены на центральных процессорах и памяти на их основе.
Однако исследователи из Университета Торонто решили проверить, можно ли проводить подобные атаки в отношении графических процессоров, особенно в свете их растущего использования в системах ИИ и машинного обучения.
По итогу им удалось успешно реализовать атаку Rowhammer на память GDDR6 в графическом процессоре NVIDIA A6000.
Они смогли оценить влияние GPUHammer на модели машинного обучения на основе глубоких нейронных сетей (DNN), в частности, на модели ImageNet, используемых для распознавания визуальных объектов.
Тесты показали, что изменение одного бита может привести к снижению точности модели машинного обучения с 80% до 0,1%.
В опубликованном бюллетене Nvidia подтвердила результаты исследования и сообщила клиентам, что системный код коррекции ошибок (ECC) - известный способ защиты от Rowhammer - может предотвратить атаки.
Производитель графических процессоров поделился конкретными инструкциями для различных продуктов.
Однако исследователи отмечают, что включение ECC снижает роизводительность и объем памяти.
Кроме того, исследователи заявили, что их PoC потенциально можно модифицировать и под другие графические процессоры на базе архитектуры Ampere от Nvidia.
Правда тесты на других графических процессорах, как утверждают исследователи, в отличие от центральных, где модули DRAM можно легко заменить, в графических процессорах они впаяны, что делает подобные тесты весьма накладными.
Исследователи разработали специализированный сайт для GPUHammer и представили статью с изложением всех своих выводов.
Исследователи Huntress предупреждают начале масштабной эксплуатации недавно обнаруженной критической уязвимости, затрагивающей FTP-сервер Wing.
Уязвимость отслеживается как CVE-2025-47812 и получила максимальную оценку CVSS: 10,0.
Ошибка связана с некорректной обработкой нулевых байтов ('\0') в веб-интерфейсе сервера, что реализует RCE. Устранена в версии 7.4.4.
Веб-интерфейсы пользователя и администратора неправильно обрабатывают байты '\0', что в конечном итоге позволяет внедрять произвольный код Lua в файлы сеансов пользователя, что может привести к выполнению произвольных системных команд с привилегиями FTP-сервиса (по умолчанию root или SYSTEM).
Ещё более тревожным является тот факт, что уязвимость можно эксплуатировать через анонимные FTP-аккаунты.
Подробный технический анализ уязвимости был опубликован в конце июня 2025 года исследователем RCE Security Джулиену Аренсу.
В свою очередь, исследователи Huntress обнаружили, что злоумышленники задействуют уязвимость для загрузки и выполнения вредоносных файлов Lua, проведения разведки и установки ПО для удаленного мониторинга и управления.
Поскольку CVE-2025-47812 связана с обработкой нулевых байтов в параметре имени пользователя (в частности, в loginok.html, отвечающим за аутентификацию), это позволяет удалённым злоумышленникам выполнить Lua-инъекцию после использования нулевого байта в параметре имени пользователя.
Воспользовавшись внедрением нулевого байта, злоумышленник нарушает ожидаемый ввод в файле Lua, в котором хранятся эти характеристики сеанса.
Артефакты активной эксплуатации были впервые обнаружены у одного из клиентов 1 июля 2025 года, всего через день после раскрытия подробностей об эксплойте.
Получив доступ, злоумышленники выполнили команды сканирования и разведки, создали новых пользователей для обеспечения персистентности и загрузили файлы Lua для установки ScreenConnect.
Атаку удалось оперативно вскрыть и нейтрализовать, избежав её дальнейшего развития.
Кто стоит за этой активностью пока неясно.
По данным Censys, в сети присутствует почти 8103 общедоступных устройств, использующих Wing FTP Server, из которых 5004 имеют открытый веб-интерфейс.
Большинство устройств расположены в США, Китае, Германии, Великобритании и Индии.
В связи с активной эксплуатацией уязвимости пользователям необходимо как можно скорее установить последние исправления и обновить свои FTP-серверы Wing до версии 7.4.4 или более поздней.
🤫 Секреты...
• Два месяца назад GitHub опубликовали интересный отчет о выявленных утечках конфиденциальных данных (ключи шифрования, пароли к СУБД и токены доступа к API) за 2024 год. В общем итоге было выявлено более 39 миллионов случаев подобных утечек.
• Как правило, конфиденциальные данные оставляют в коде по недосмотру. Например, в репозиторий попадают файлы конфигурации с паролями к СУБД, а также прописанные в коде токены или ключи доступа к API, которые часто добавляют в процессе тестирования, но забывают удалить перед сохранением изменений в Git или не учитывают, что они могут остаться в сопутствующих файлах с ресурсами (например, могут остаться в предкомпилированном файле с байткодом, несмотря на удаление в исходном коде).
➡ https://github.blog/next-evolution-github-advanced-security
• Напомню, что на эту тему есть хорошая статья на хабре, где автор восстанавливал удаленные файлы в GitHub репозиториях, находил недостижимые объекты, распаковывал .pack - файлы и находил API-ключи, активные токены и учетки. А когда он сообщил компаниям об утечках, заработал более $64 тыс. на баг-баунти.
➡️ https://habr.com/ru/post/916752
• В дополнение: grep.app и code-search — инструменты, которые предназначены для поиска по тексту и коду, с удобным интерфейсом для поиска в публичных репо. Эти тулзы будут полезны не только разработчикам, но и помогут в защите от утечек данных! Основные возможности следующие:
➡Поиск по публичным репозиториям;
➡Поддержка регулярных выражений;
➡Фильтрация по языкам программирования;
➡Поиск с учетом регистра;
➡Оптимизация для быстрого поиска.
➡ https://grep.app
➡ https://github.com/features/code-search
S.E. ▪️ infosec.work ▪️ VT
Подошли новости об уходе с рынка ransomware банды вымогателей Satanlock, которая заявила об этом на своем DLS, обещая раскрыть украденные данные всех своих жертв.
Причину закрытия группировка не назвала. Satanlock стартовала в начале апреля, за время работы ей удалось наработать более 70 жертв, по крайней мере, так заявлялось самими хакерами.
Команда исследователей из Технического университета Вены и Университета Байройта (Филипп Бир, Марко Скварчина, Себастьян Рот, Мартина Линдорфер) разработала новый метод tapjacking, который будет представлен на предстоящем симпозиуме USENIX.
В отличие от традиционного тапджекинга с использованием оверлея, атаки TapTrap задействуют анимацию пользовательского интерфейса для обхода системы разрешений Android, получения доступа к конфиденциальным данным или инициирования определенных действий.
TapTrap злоупотребляет способом обработки переходов активности Android с помощью специальных анимаций, создавая визуальное несоответствие между тем, что видит пользователь, и тем, что фактически регистрирует устройство.
Вредоносное приложение, установленное на целевом устройстве, запускает конфиденциальный системный экран (запрос на разрешение, системные настройки и т.д.) из другого приложения, используя startActivity() с пользовательской анимацией с низкой непрозрачностью.
Ключом к эффективности TapTrap является использование анимации, которая делает целевую активность практически невидимой.
Этого можно добиться, определив пользовательскую анимацию с начальной и конечной непрозрачностью (альфа), установленной на низкое значение, например 0,01, что делает вредоносную или опасную активность почти полностью прозрачной.
При желании можно применить анимацию масштабирования для увеличения масштаба определенного элемента пользовательского интерфейса (например, кнопки разрешения), чтобы он занимал весь экран и увеличивал вероятность того, что пользователь нажмет на него.
Несмотря на то, что запущенное приглашение получает все сенсорные события, пользователь видит только базовое приложение, отображающее собственные элементы пользовательского интерфейса, поскольку поверх него прозрачный экран, с которым он фактически взаимодействует.
Думая, что он взаимодействует с приложением, пользователь может нажимать на определенные позиции на экране, которые соответствуют определенным действиям, например, на кнопки «разрешить» или «авторизовать» на почти невидимых подсказках.
Исследователи проанализировали около 100 000 приложений из Play Store и обнаружили, что 76% из них уязвимы для TapTrap.
При этом в Android 15 анимация включена (пока пользователь не отключит ее в параметрах разработчика или настройках специальных возможностей), что делает устройства уязвимыми для атак TapTrap.
Тесты, проведенные исследователями, оказали, что в Android 16 проблема также остается нерешенной.
Разработчики GrapheneOS подтверждают, что последняя версия Android 16 уязвима для TapTrap, и заверили об исправлении проблемы в следующем выпуске.
Аналогичное заявление сделали представители Google.
Решения Ruckus Wireless Virtual SmartZone (vSZ) и Network Director (RND) подвержены многочисленным уязвимостям, которые могут позволить злоумышленникам скомпрометировать управляемые среды, оставаясь при этом неисправленными до настоящего времени.
Ruckus Wireless (Ruckus Networks) реализует широкую линейку сетевых устройств и программного обеспечения для операторов мобильной связи, поставщиков услуг широкополосного доступа и корпоративного сектора.
Программное обеспечение для управления vSZ поддерживает управление крупными сетями - до 10 000 точек доступа Ruckus, - а RND позволяет управлять несколькими кластерами vSZ.
Обеспокоенность высказали представители CERT Университета Карнеги-Меллона (CERT/CC) в своих недавних рекомендациях, обращая внимание на 9 недостатков, обнаруженных Claroty Team82, которые приводят к обходу аутентификации, произвольному чтению файлов и RCE.
Приложение vSZ содержит несколько жёстко запрограммированных данных, включая ключ подписи JWT и ключи API, что позволяет злоумышленникам получить доступ к устройству с высокими привилегиями. Проблема отслеживается как CVE-2025-44957.
Используя заголовки HTTP и действительный ключ API, можно логически обойти методы аутентификации, предоставив доступ на уровне администратора любому, кто это сделает.
Другая ошибка в vSZ, CVE-2025-44962, позволяет аутентифицированным пользователям перемещаться по путям каталогов и считывать конфиденциальные файлы.
Кроме того, vSZ хранит открытые и закрытые ключи RSA по умолчанию для встроенного пользователя с привилегиями root в каталоге SSH пользователя (CVE-2025-44954), предоставляя любому, кто знает ключи, права root через SSH, приводя к неаутентифицированному RCE.
Две другие RCE-уязвимости в vSZ обусловлены отсутствием очистки контролируемого пользователем параметра в маршруте API (CVE-2025-44960) и предоставленного пользователем IP в качестве аргумента, который может быть командой вместо адреса (CVE-2025-44961).
В свою очередь, RND также использует жёстко запрограммированные данные, включая токен JWT, для внутреннего веб-сервера, что позволяет злоумышленникам создавать действительный JWT, обходить аутентификацию и получать доступ с правами администратора (CVE-2025-4496).
Кроме того, RND содержит встроенный джейлбрейк, поддерживающий настройку устройства без доступа к командной оболочке базовой ОС. Жёстко запрограммированный пароль, отслеживаемый как CVE-2025-44955, обеспечивает доступ к серверу с правами root.
Платформа RND также имеет жестко запрограммированные ключи SSH (CVE-2025-6243) для встроенной учетной записи «sshuser», которая имеет привилегии root и использует жестко запрограммированный слабый секретный ключ (CVE-2025-44958) для шифрования паролей, возвращая при этом пароли в виде открытого текста.
Влияние всех этих уязвимостей варьируется от утечки информации до полного нарушения безопасности беспроводной среды, управляемой уязвимыми продуктами.
При этом ряд уязвимостей могут быть объединены в цепочку, позволяя злоумышленнику комбинировать атаки для обхода различных средств защиты.
По данным CERT/CC, попытки связаться с Ruckus Wireless или головной компанией Commscope остались без ответа, а исправлений для этих уязвимостей пока нет.
Пользователям следует ограничить доступ к уязвимым продуктам.
Более миллиона пользователей установили расширения для браузеров, которые фактически превращают их в прокси-серверы для ботнета, который задействуется для сбора данных в Интернете.
Все они включают библиотеку Mellowtel, которая ожидает перехода пользователей в состояние неактивности, отключает средства защиты страницы, а затем грузит удалённый сайт в скрытый iframe. После этого сайт отправляется на удалённый URL для анализа.
Исследователи SecureAnnex обнаружили библиотеку Mellowtel в 245 расширениях для Chrome, Edge и Firefox.
Некоторые разработчики начали удалять Mellowtel из своего кода после того, как разработчики браузеров приступили к исправлению проблемы.
Тем не менее на данный момент лишь 12 из 45 расширений Chrome удалили Mellowtel, 8 из 129 в Edge и 2 из 69 в Firefox.
Mellowtel обрела популярность, продвигая свой продукт среди разработчиков и предлагая монетизацию расширений путем продажи «неиспользованной пропускной способности» пользователей.
SecureAnnex также обнаружила связи между Mellowtel и Olostep - онлайн-сервисом, рекламирующим «рентабельный API для веб-скрапинга», который позволяет избегать обнаружения ботами и распараллеливать до 100 000 запросов.
Джон Такнер, основатель SecureAnnex, полагает, что библиотека служит бэкэндом для Olostep, позволяя компании направлять часть веб-скрапинга через расширения Mellowtel.
Исследователи полагают, что подобная практика в ряде случаев противоречит законам (когда пользователи должным образом не были проинформированы), но в любом случае потенциальная «передача» своего браузера в чужие руки - не есть хорошая идея.
Во-первых, Mellowtel удаляет заголовки безопасности с сайтов, на которых загружает скрытый iframe, чтобы обеспечить веб-скрейпинг.
Во-вторых, Mellowtel может легко запускать вредоносный код внутри Интранет-порталов и других корпоративных приложений, открывая компании (посредством утраты контроля над браузерами своих пользователей) для непредвиденных атак.
И, наконец, неясно, кому Olostep или команда Mellowtel будут реализуют свои услуги и как будет использоваться библиотека в будущем.
Возможно, сегодня - это парсинг страниц, а на завтра - запуском фишинга.
Grafana выпустила обновления для устранения четырех уязвимостей высокой степени серьезности в библиотеке Chromium, используемой в плагине Grafana Image Renderer и Synthetic Monitoring Agent.
Наиболее важной из этих проблем является CVE-2025-6554 - путаница типов в движке JavaScript V8 браузера Chrome, которая может быть использована удаленно для выполнения произвольных операций чтения/записи.
Проблема использовалась в качестве 0-day и в Google на прошлой неделе официально также подтверждали существование эксплойта для CVE-2025-6554. Устранена в Chrome 138.0.7204.96/.97 для Windows, 138.0.7204.92/.93 для macOS и 138.0.7204.96 для Linux.
Grafana также выпустила исправления для CVE-2025-5959 - ошибки путаницы типов в движке V8, которая может позволить удаленным злоумышленникам выполнять произвольный код в «песочнице» с помощью специально созданных HTML-страниц.
Google устранила проблему в версиях Chrome 137.0.7151.103/.104 для Windows и macOS, 137.0.7151.103 для Linux.
Кроме того, плагин Image Renderer и Synthetic Monitoring Agent получили исправления для CVE-2025-6191, дефекта целочисленного переполнения в движке Chrome V8, и CVE-2025-6192, ошибки использования после освобождения памяти в компоненте браузера Profiler.
Ошибки были устранены в версиях Chrome 137.0.7151.119/.120 для Windows и macOS, 137.0.7151.119 для Linux.
Она позволяют удаленным злоумышленникам потенциально выполнять доступ к памяти за пределами выделенного пространства и эксплуатировать повреждение кучи соответственно.
По данным Grafana, эти уязвимости затрагивают версии Grafana Image Renderer до 3.12.9 и Synthetic Monitoring Agent до 0.38.3, пользователям следует как можно скорее обновиться до исправленных версий.
Пользователям, которые используют плагин Grafana Image Renderer или имеют локальную установку Synthetic Monitoring Agent, рекомендуется обновить свои системы. При этом облачные развертывания были автоматически обновлены.
Исследователи выкатили PoC-эксплойты для критической уязвимости Citrix NetScaler, известной как CVE-2025-5777 и получившей название CitrixBleed2, которая поддается достаточно простой эксплуатации, позволяя красть токены сеансов пользователей.
CitrixBleed 2 затрагивает устройства Citrix NetScaler ADC и Gateway и приводит к извлечению содержимоего памяти посредством простой отправки искаженных запросов POST в процессе попыток входа в систему.
Название CitrixBleed2 обусловлено ее схожестью с оригинальной ошибкой CitrixBleed (CVE-2023-4966) 2023 года, которая использовалась бандами вымогателей в атаках на правительственные учреждения.
Ресерчеры watchTowr и Horizon3 представили свои отчеты [1 и 2], подтверждая возможность использования путем отправки запроса на вход в систему, в котором параметр login= изменен таким образом, что он отправляется без знака равенства или значения.
Как отмечает watchTowr, это заставляет устройство NetScaler отображать содержимое памяти до первого нулевого символа в разделе <InitialValue></InitialValue> ответа.
Ошибка вызвана использованием функции snprintf вместе со строкой формата, содержащей %.*s.
По данным Horizon3, каждый запрос приводит к утечке 127 байт данных, что позволяет злоумышленникам выполнять повторные HTTP-запросы для извлечения дополнительного содержимого памяти до тех пор, пока они не будут найдены нужные конфиденциальные данные.
В отличие от WatchTowr, Horizon3 смогли продемонстрировать в видео реализацию уязвимости для кражи токенов сеансов пользователей.
При этом Horizon3 утверждает, что помимо конечных точек NetScaler уязвимость может быть также использована в отношении утилит конфигурации, используемых администраторами.
Как бы то ни было, Citrix продолжает настаивать на том, что уязвимость активно не эксплуатируется и в настоящее время нет никаких доказательств, позволяющих предположить эксплуатацию CVE-2025-5777.
Однако в июньском отчете ReliaQuest прямо приведены артефакты, указывающие на задействование CVE-2025-5777 для проведения атак, а в компании уже фиксируют рост числа случаев перехвата сеансов пользователей.
Кроме того, исследователь Кевин Бомонт также оспаривает заявление Citrix, утверждая, что уязвимость активно эксплуатируется с середины июня, причем злоумышленники используют ее для сброса памяти и перехвата сеансов.
При этом он выделил следующие индикаторы в журналах Netscaler:
- повторяющиеся запросы POST к *doAuthentication* - каждый из них выдает 126 байт ОЗУ;
- запросы к doAuthentication.do с "Content-Length: 5»;
- строки с *LOGOFF* и user = "*#*" (т.е. символ # в имени пользователя). ОЗУ воспроизводится в неправильное поле.
Служба поддержки Citrix не раскрыла никаких IOC и до сих пор заявляет (опять же - как это было с CitrixBleed), что никаких эксплуатаций не было.
Так или иначе ожидаем присоединения к обсуждениям по части эксплуатации представителей киберподполья. Будем следить.
Ресерчеры из Лаборатории Касперского сообщают о новом ранее недокументированном шпионском ПО Batavia, которое задействуется в атаках на российские компании.
Начиная с июля 2024 года реализуется кампания, связанная с использованием однотипных файлов с именами наподобие договор-2025-5.vbe, приложение.vbe, dogovor.vbe и др.
Сама целевая атака начинается с рассылки с вредоносными ссылками под предлогом подписания договора.
Жертвами кампании со шпионским ПО стали российские промышленные предприятия.
По данным телеметрии ЛК, вредоносные письма получили свыше 100 пользователей из нескольких десятков организаций.
Основная цель - заражение организаций ранее неизвестным шпионом Batavia с последующей кражей внутренних документов.
Кроме того, Batavia выгружает также такие данные, как список установленных программ, драйверов и компонентов ОС.
Кликая на ссылки для скачивания якобы служебного документа, получатель загружает на устройство скрипт, который запускает трехэтапное заражение машины. Зловред состоит из VBA-скрипта и двух исполняемых файлов.
При переходе по ссылке на устройство пользователя загружается архив, в котором содержится лишь один файл: скрипт, зашифрованный проприетарным алгоритмом Microsoft.
Он представляет собой загрузчик, который получает по прописанному в коде URL-адресу специально сформированную строку из 12 параметров, разделенных запятыми. Это аргументы для различных вредоносных функций.
Обратившись к URL-адресу, скрипт скачивает WebView.exe, сохраняет его в директорию %TEMP% и а затем запускает. Если версию ОС получить не удалось или она не совпадает с версией, полученной с C2, загрузчик использует метод Navigate(), в противном случае — Run().
WebView.exe, в свою очередь, представляет собой исполняемый файл, написанный на Delphi, размером 3 235 328 байт. Он также по ссылке грузит файлы в директорию C:\Users\[username]\AppData\Local\Temp\WebView, после чего отображает скачанные данные в своем окне.
На момент исследования ссылка была уже неактивна, но в ЛК предполагают, что по этому адресу должен находиться текст поддельного договора, о котором шла речь в письме.
Одновременно с показом окна зловред начинает сбор информации с зараженного компьютера и отправляет ее на адрес с другим доменом, но с определенным идентификатором заражения.
Единственное отличие от идентификатора из VBS-скрипта - добавление цифры 1 в начало аргумента, что может говорить о следующем этапе заражения.
Зловред собирает несколько категорий файлов, включая различные системные журналы и офисные документы на компьютере и съемных носителях. Кроме того, вредоносный модуль с определенной периодичностью делает и отправляет снимки экрана.
Кроме того, webview.exe загружает исполняемый файл следующего этапа и сохраняет его в %programdata%\jre_22.3\javav.exe.
Для запуска этого файла зловред создает ярлык в автозагрузке, который запускается после первой перезагрузки, начиная следующий этап вредоносной активности.
Исполняемый файл javav.exe, в отличие от webview.exe, написан на С++. Вредоносная функциональность этих файлов достаточно схожа, однако в javav.exe были добавлены новые возможности.
Новые собранные данные отправляются по аналогичному адресу, но к идентификатору заражения была добавлена цифра 2.
Также в коде вредоносного компонента появились две команды: set для смены командного центра и exa/exb для загрузки и запуска дополнительных файлов.
Индикаторы компрометации - в отчете.
Исследователи QiAnXin сообщили об обнаружении новой действующей из Северной Америки APT-группы, нацеленной на высокотехнологичные секторы Китая.
PanGu и RedDrip из QiAnXin раскрыли свои выводы на конференции по безопасности CYDES в Малайзии на прошлой неделе, а также опубликовали технический отчет на GitHub в прошлую пятницу.
Исследователи описывают NightEagle (APT-Q-95 и APT-C-78) как чрезвычайно скрытную и очень сложную.
Группировка использует новое вредоносное ПО, уникальную серверную инфраструктуру для каждой жертвы и потенциально задействует в атаках 0-day для Microsoft Exchange.
Каким образом группа получает доступ к сети цели пока остается неясным, тем не менее, проникнув внутрь, они устанавливают модифицированную версию Chisel, которое каждые несколько часов отправляет запросы на домен С2.
Записи DNS для любого из доменов C2 недоступны в 99% случаев и настроены на указание на тупиковый IP-адрес, например 127.0.0.1, 0.0.0.0, 0.0.0.1, 1.0.0.0 и 114.114.114.114.
По-видимому, домены серверов C2 активируются и разрешаются для преобразования в реальный IP-адрес только тогда, когда операторы активны, и немедленно отключаются в ином случае.
По данным QiAnXin, когда домены C2 активны, NightEagle взаимодействует с локальными серверами Microsoft Exchange и размещает в памяти бесфайловые импланты.
Опять же исследователи еще не выяснили, но, по-видимому, это делается с помощью цепочки 0-day эксплойтов для Exchange.
NightEagle задействует встроенный в память вирус для кражи электронных писем из почтовых ящиков Exchange организации.
Помимо электронной почты, группа также нацеливается на репозитории исходного кода и системы резервного хранения данных.
Группировка действует с 2023 года, а ее целями обычно являются китайские компании в сфере высоких технологий, включая производитство микросхем, квантовые технологии, искусственный интеллект, а также ВПК КНР.
QiAnXin назвала группу NightEagle, поскольку она действует только в ночное время в Китае, с 21:00 до 6:00 по пекинскому времени.
Причем вне этого хронометража группа никогда не работает. Исследователи полагают, что строгий график позволяет группе действовать в часовом поясе западного побережья Северной Америки.
QiAnXin официально не связывала APT с какой-либо страной, однако упоминание в названии Eagle говорит о многом по части атрибуции.
Официальное расследование Predatorgate так ни к чему и не привело.
Все началось в декабре 2022 года после журналистских разоблачений Inside Story и ряда других СМИ в отношении скандала с прослушкой телефонных разговоров.
Тогда правительство Кириакоса Мицотакиса приняло закон 5002/2022, направленный на обеспечение прозрачности закупок шпионского ПО в интересах национальных спецслужб.
Для того чтобы использование шпионского ПО спецслужбами было законным и конституционным, регулятор ADAE должен иметь возможность контролировать его использование, как в случае с контролем каналов связи.
Закон предусматривает также создание списка шпионского ПО, которое правительство планирует закупить.
Полномочия по ведению такого перечня были возложены на вновь созданный Координационный комитет по вопросам кибербезопасности.
Для принятия регламента работы комитета понадобилось 15 месяцев, а его формирования состоялось еще через семь месяцев, только 10 сентября 2024 года.
Правда, в ответ на требования ADAE предоставить список генеральный секретарь национальной безопасности канцелярии премьер-министра Танос Докос и по совместительству глава комитета выдал общие формулировки функционала вместо наименований поставщиков spyware.
Фактически своими действиями чиновники полностью лишили новый закон какой-либо реальной юридической силы, что позволило им продолжать производить закупки.
В общем спустя почти три года не было сделано абсолютно ничего, что указывает на задействование spyware Национальной разведслужбой, службой по борьбе с терроризмом и полицией ровно в той же серой правовой зоне, как и было ранее вне надзора со стороны ADAE.
Причем, как отмечают в InsideStory, само ADAE и вовсе осталось обезглавленным после отставки «неугодного» для правительства Христоса Раммоса.
Кроме того, чиновникам удалось также избавиться и от некоторых других «назойливых» членов ADAE.
Таким образом, можно констатировать: расследование греческого правительства по факту использования им шпионского ПО Predator зашло в тупик и фактически провалилось.
Исследователи Stratascale Cyber Research Unit (CRU) обнаружили две уязвимости безопасности в утилите командной строки Sudo для Linux и Unix-подобных ОС, которые могут позволить локальным злоумышленникам повысить свои привилегии до уровня root на уязвимых компьютерах.
Одна из них CVE-2025-32463 (CVSS: 9,3) в Sudo до версии 1.9.17p1 позволяет локальным пользователям получать права root, поскольку /etc/nsswitch.conf из контролируемого пользователем каталога используется с опцией --chroot, вторая CVE-2025-32462 (CVSS: 2,8) - выполнять команды.
Sudo - это инструмент командной строки, который позволяет пользователям с низкими привилегиями выполнять команды от имени другого пользователя, например, суперпользователя.
Команда настраивается с помощью файла /etc/sudoers, который определяет, кто может запускать те или иные команды, как и какие пользователи, на каких компьютерах, а также может контролировать особые параметры, например, нужен ли вам пароль для определенных команд.
Как отмечают исследователи, CVE-2025-32462 ускользала из внимания более 12 лет.
Ошибка коренится в опции Sudo "-h" (хост), которая позволяет перечислять привилегии sudo пользователя для другого хоста.
Функция была включена в сентябре 2013 года.
Однако обнаруженная ошибка сделала возможным выполнение любой команды, разрешенной удаленным хостом для запуска на локальной машине, а также при запуске команды Sudo с параметром хоста, ссылающимся на несвязанный удаленный хост.
В руководстве проекта Sudo полагают, что это в первую очередь влияет на сайты, которые используют общий файл sudoers, распространяемый на несколько машин. Сайты, которые используют sudoers на основе LDAP (включая SSSD), также подвержены влиянию.
CVE-2025-32463, с другой стороны, использует опцию Sudo "-R" (chroot) для запуска произвольных команд от имени root, даже если они не перечислены в файле sudoers.
Уязвимость относится к категории критически важных.
Конфигурация Sudo по умолчанию уязвима и хотя ошибка связана с функцией Sudo chroot, она не требует определения каких-либо правил Sudo для пользователя.
В результате любой локальный непривилегированный пользователь может потенциально повысить привилегии до root, если установлена уязвимая версия.
Другими словами, уязвимость позволяет злоумышленнику обманом заставить sudo загрузить произвольную общую библиотеку, создав файл конфигурации /etc/nsswitch.conf в указанном пользователем корневом каталоге и запускать вредоносные команды с повышенными привилегиями.
Разработчики отмечают, что опция chroot будет полностью удалена из будущей версии Sudo, при этом поддержка указанного пользователем корневого каталога «подвержена ошибкам».
После ответственного раскрытия 1 апреля 2025 года уязвимости были устранены в версии Sudo 1.9.17p1, выпущенной в конце прошлого месяца.
Рекомендации также были выпущены для различных дистрибутивов Linux:
- CVE-2025-32462: AlmaLinux 8, AlmaLinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE и Ubuntu.
- CVE-2025-32463: Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE и Ubuntu.
Пользователям рекомендуется применить необходимые исправления и убедиться, что дистрибутивы Linux для настольных ПК обновлены до последних пакетов.
Исследователи SentinelOne сообщают о задействовании северокорейскими APT нового штамма вредоносного ПО для macOS под названием NimDoor в кампании, нацеленной на организации, работающие в сфере web3 и криптовалют.
Проанализировав полезную нагрузку, исследователи обнаружили, что хакеры использовали технику внедрения процесса и удаленную связь через wss, зашифрованную с помощью TLS версию протокола WebSocket.
Кроме того, новый механизм сохранения использует обработчики сигналов SIGINT/SIGTERM для сохранения после завершения работы вредоносной программы или перезагрузки системы
Цепочка атак включает в себя связь с жертвами через Telegram для побуждения их к запуску фейкового обновления SDK Zoom, которое доставляется через Calendly и по электронной почте.
Причем аналогичную схему благодаря Huntress недавно связали с BlueNoroff.
Согласно отчету, северокорейцы использовали двоичные файлы, скомпилированные с помощью C++ и Nim (совместно отслеживаемые как NimDoor), на macOS, что «является весьма необычным».
Один из скомпилированных Nim двоичных файлов, installer, отвечает за начальную настройку и подготовку, подготовку каталогов и путей конфигурации.
Он также сбрасывает два других двоичных файла - GoogIe LLC, CoreKitAgent, на систему жертвы.
GoogIe LLC берет на себя сбор данных об окружении и генерирует файл конфигурации в шестнадцатеричном коде, записывая его во временный путь.
Он настраивает macOS LaunchAgent (com.google.update.plist) для сохранения, который повторно запускает GoogIe LLC при входе в систему и сохраняет ключи аутентификации для последующих этапов.
Самым продвинутым компонентом, используемым в атаке, является CoreKitAgent, основная полезная нагрузка фреймворка NimDoor, который работает как управляемый событиями двоичный файл, использующий механизм kqueue macOS для асинхронного управления выполнением.
Он реализует 10-вариантный конечный автомат с жестко запрограммированной таблицей переходов состояний, что обеспечивает гибкий поток управления на основе условий выполнения.
Наиболее отличительной особенностью являются механизмы сохранения на основе сигналов, где он устанавливает специальные обработчики для SIGINT и SIGTERM.
Обычно это сигналы, используемые для завершения процессов, но при обнаружении любого из них CoreKitAgent запускает процедуру переустановки, которая повторно развертывает GoogIe LLC, восстанавливая цепочку сохранения.
Такое поведение гарантирует, что любое инициированное пользователем завершение работы вредоносного ПО приведет к развертыванию основных компонентов, что делает код устойчивым к базовым защитным действиям.
CoreKitAgent декодирует и запускает шестнадцатеричный код AppleScript, который каждые 30 секунд отправляет сигналы на инфраструктуру злоумышленника, извлекает системные данные и выполняет удаленные команды через osascript, обеспечивая легкий бэкдор.
Параллельно с выполнением NimDoor, zoom_sdk_support.scpt запускает вторую цепочку инъекций с участием trojan1_arm64, которая инициирует C2-коммуникации на основе WSS и загружает два скрипта (upl и tlgrm), облегчающие кражу данных.
В случае загрузчика zoom_sdk_support.scpt исследователи заметили, что он включает в себя более 10 000 пустых строк в целях запутывания кода.
Upl извлекает данные из веб-браузеров, захватывает Keychain, bash_history и zsh_history, а затем с помощью curl отправляет их в dataupload[.]store.
Tlgrm фокусируется на краже базы данных Telegram вместе с tempkeyEncrypted, вероятно, используя их для расшифровки сообщений, которыми жертва обменивалась на платформе.
В целом фреймворк NimDoor и остальные бэкдоры, проанализированные SentinelLABS, являются одними из самых сложных семейств вредоносных ПО для macOS, связанных с северокорейскими хакерами.
Исследователи JFrog обнаружили критическую CVE-2025-6514 в проекте mcp-remote с открытым исходным кодом, которая может привести к выполнению произвольных команд операционной системы и имеет оценку CVSS 9,6 из 10,0.
Уязвимость позволяет злоумышленникам инициировать выполнение произвольной команды ОС на машине, на которой работает mcp-remote, когда она инициирует соединение с ненадежным сервером MCP, что создает риск полной компрометации системы.
Mcp-remote появился после выпуска Anthropic протокола контекста модели (MCP), фреймворка с открытым исходным кодом, который стандартизирует способ, посредством которого приложения на основе LLM интегрируют и обмениваются данными с внешними источниками данных и службами.
Он действует как локальный прокси-сервер, позволяя клиентам MCP, таким как Claude Desktop, взаимодействовать с удалёнными серверами MCP, а не запускать их локально на том же компьютере, что и приложение LLM. Пакет был скачан более 437 000 раз.
Уязвимость затрагивает все версии mcp-remote от 0.0.5 до 0.1.15, и была устранена в 0.1.16, выпущенной 17 июня 2025 года.
Как отмечают исследователи, ранее вышедшие исследования хоть и описывали риски, связанные с подключением клиентов MCP к вредоносным серверам, но это первый случай, когда в реальном сценарии на клиентской ОС достигается полное удаленное выполнение кода.
Недостаток связан с тем, как вредоносный сервер MCP, подконтрольный злоумышленнику, позволяет внедрить команду на этапе первоначального установления связи и авторизации, которая при обработке mcp-remote приводит к ее выполнению в базовой ОС.
Если эта проблема приводит к выполнению произвольных команд ОС в Windows с полным контролем параметров, в системах macOS и Linux - к выполнению произвольных исполняемых файлов с ограниченным контролем параметров.
Чтобы снизить риск, связанный с уязвимостью, пользователям рекомендуется обновить библиотеку до последней версии и подключаться только к доверенным серверам MCP, используя безопасные методы соединения, такие как HTTPS.
В противном случае уязвимости, подобные CVE-2025-6514, вероятно, приведут к захвату клиентов MCP в постоянно растущей экосистеме MCP.
Пока один уходят, возвращаются другие.
RansomedVC вновь объявилась после двухлетнего отсутствия и не с пустыми руками. Она раскрыла закрытую переписку Medusa, утверждая, что один из её администраторов исчез и, вероятно, был арестован.
По мнению RansomedVC, Medusa либо пытается соскамиться, либо была разоблачена силовиками. Аналитик Ракеш Кришнан опубликовал анализ утечки.
Кроме того, на горизонте нарисовались также новые игроки - Devman RaaS и D4Rk4Rmy. Последняя уже выкатила восемь жертв на своем DLS.
Впервые появившаяся в 2020 проиранская Pay2Key вновь вернулась в сеть с новой платформой RaaS. По данным Morphisec, с момента перезапуска в феврале этого года банда успела заработать более 4 миллионов долларов с 51 транша в качестве выкупов.
Примечательной особенностью последней версии Pay2Key.I2P является то, что это первая известная RaaS-платформа, размещенная на Invisible Internet Project (I2P). Кроме того, хакеры практикуют высокие выплаты операторам (до 80%).
Продолжая тему июльского PatchTuesday, хотелось бы отметить, что наступил он не у всех.
Впервые за шесть лет Google пришла к своим пользователям с пустыми руками: в этом месяце обновлений безопасности Android не будет.
Так что, лучше поглядим, что там у других поставщиков по части уязвимостей и исправлений:
1. Исследователи General Analysis обнаружили проблему на серверах Supabase MCP, которая может использоваться для утечки таблиц базы данных SQL.
Атака является результатом сочетания двух недостатков проектирования: чрезмерного привилегированного доступа к базе данных (service_role) и излишнего доверия к контенту, предоставленному пользователем.
2. Установки по умолчанию SailPoint IQService задействуют жёстко запрограммированный ключ шифрования, который позволяет удалённым злоумышленникам запускать вредоносный код в контексте служб SailPoint IAM.
По данным NetSPI, ключ шифрования хранится в одном из DLL-файлов.
SailPoint выпустила обновления, чтобы защитить свой сервис от возможных эксплойтов после майских обновлений безопасности.
При этом для ошибки доступен PoC.
3. Исследователи Silverfort обнаружили новую DoS-уязвимость в протоколе Netlogon от Microsoft.
CVE-2025-47978 получила название NOTLogon и позволяет любому компьютеру, подключенному к домену, с минимальными привилегиями отправлять специально созданный запрос аутентификации, который приводит к сбою контроллера домена и полной перезагрузке.
4. Группа учёных опубликовала подробности в отношении новой атаки на TLS-соединения, которая была названа Опоссум и может использоваться с позиций MitM для фиксации сеанса, запутывания ресурсов, XSS или утечки файлов cookie.
Исследователи утверждают, что атака очень надёжна, но необходимые условия выполняются крайне редко.
5. Исследовательская лаборатория Security Explorations польской AG Security Research провела широкий анализ eSIM и eUICC и обнаружила уязвимости, которые можно эксплуатировать для клонирования eSIM жертвы и контроля за ее мобильными коммуникациями.
Стоит отметить, что проект Security Explorations был сосредоточен на продуктах Kigen, чипы eUICC/eSIM от ряда других поставщиков могут быть уязвимы для аналогичных атак, поскольку основная проблема связана с серией уязвимостей, обнаруженных в Java Card от Oracle.
6. Обновления безопасности, выпущенные для Ivanti Connect Secure (ICS) и Policy Secure (IPS), Endpoint Manager Mobile (EPMM) и Endpoint Manager (EPM), устраняют в общей сложности 11 ошибок, для эксплуатации которых требуется аутентификация.
Традиционно в своем сообщении компания сообщает, что у нее нет никаких доказательств того, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях.
Но, как мы знаем, обычно клиенты Ivanti читают в обратно порядке.
7. Fortinet опубликовала восемь рекомендаций, в которых подробно описаны одна критическая, одна высокой, пять средней и одна низкой степени уязвимости, затрагивающие FortiAnalyzer, FortiIsolator, FortiManager, FortiOS, FortiProxy, FortiSandbox, FortiSASE, FortiVoice и FortiWeb.
Критическая CVE-2025-25257 (CVSS 9,6) связана с SQL-инъекцией в FortiWeb и может быть эксплуатирована посредством специально созданных HTTP/HTTPS-запросов для выполнения неавторизованного SQL-кода или команд.
Для успешной эксплуатации аутентификация не требуется.
Fortinet не упоминает о каких-либо эксплуатациях недавно устраненных уязвимостей.
8. Наиболее важные из 12 рекомендаций, опубликованных Splunk, устраняют критические и высокосерьёзные уязвимости в Splunk SOAR, Enterprise и DB Connect.
Большинство из них - это ошибки прошлого года, несколько CVE 2022 и 2023, а также одна проблема - от 2013 года.
Ведущие поставщики промышленных решений Siemens, Schneider Electric и Phoenix Contact выкатили рекомендации по безопасности ICS в рамках PatchTuesday за июль 2025 года.
Siemens выпустила девять новых рекомендаций, а также отдельный бюллетень по безопасности с отражением мер по защите своих промышленных систем в условиях растущих угроз на ландшафте ОТ.
В предупреждении упоминается текущая геополитическая ситуация и недавнее предупреждение правительства США о прогнозируемом росте числа атак со стороны Ирана.
Промышленный гигант также предупредил своих клиентов, что устройства Sentron Powermanager и Desigo CC не подвержены недавно обнаруженной RCE-уязвимости в Apache Tomcat.
Siemens устранила две критические и одну уязвимость высокой степени серьёзности в Sinec NMS. Все они могли привести к повышению привилегий и выполнению кода.
Высокосерьезные проблемы также былы обнаружены в инфраструктуре TIA Administrator (EoP и RCE), Sicam Toolbox II (MitM), Solid Edge (DoS или RCE), Ruggedcom ROS (MitM и несанкционированный доступ) и Simatic CN 4100 (DoS).
Проблемы средней степени серьёзности были устранены в продуктах Siemens выпустила девять новых рекомендаций, а Они могут привести к раскрытию конфиденциальной информации и DoS.
Schneider Electric опубликовала четыре новых бюллетеня, в одном из которых описаны ряд критических и высокосерьёзных уязвимостей, затрагивающих EcoStruxure IT Data Center Expert.
Ошибки могут быть использованы для удалённого выполнения кода без аутентификации, получения пароля root, удалённого выполнения команд и повышения привилегий.
В другом бюллетене описывается проблема раскрытия данных вций, а также отдельный бюллетень по безопасности с отражеВ двух других бюллетенях описывается влияние дефектов сторонних компонентов на EcoStruxure Power Operation и устаревшие промышленные ПК.
Phoenix Contact также представила четыре новых бюллетеня.
Два из них посвящены критическим уязвимостям в прошивке PLCnext, позволяющие злоумышленникам перезагружать ПЛК, получать доступ к файлам и выполнять их, вызывать DoS и выполнять другие действия.
Большинство проблем затрагивают компоненты сторонних производителей. Аналогичные информационные бюллетени также опубликованы VDE CERT.
Два других предупреждения Phoenix Contact затрагивают уязвимости в контроллерах зарядки электромобилей Charx, включая критические.
Они могут быть использованы для получения доступа к чтению/записи, вызова DoS и EoP.
Свои рекомендации отметили ABB (обход аутентификации RMC-100, уязвимости раскрытия информации) и Mitsubishi Electric (DoS в Melsec и выполнение кода в Melsoft).
Исследователи PCA Cyber Security обнаружили критические уязвимости в широко используемом стеке Bluetooth BlueSDK, которые позволяют реализовать RCE в автомобильных системах и использоваться для удаленного взлома миллионов автомобилей.
В общем же анализ фреймворка BlueSDK Bluetooth, разработанного OpenSynergy, позволил выявить проблемы, которые также позволяют обходить механизмы безопасности и приводят к утечке информации.
Они продемонстрировали возможность объединения их в так называемую атаку PerfektBlue для удалённого взлома информационно-развлекательной системы автомобиля.
Успешная атака откроет злоумышленнику возможность отслеживать местоположение автомобиля, записывать звук из салона и получать данные телефонной книги.
Кроме того, он также сможет проникнуть в другие системы и потенциально получить контроль над рулевым управлением, звуковым сигналам и работе стеклоочистителей.
Взлом PerfektBlue был апробирован на последних моделях информационно-развлекательных систем, поставляемых в Mercedes-Benz, Skoda и Volkswagen, а также на решениях, произведенных другим, неназванным OEM-производителем, который лишь недавно узнал о результатах проверки.
BlueSDK присутствует в миллионах устройств помимо автомобилильных систем, включая мобильные телефоны и другие портативные гаджеты, производимые десятками крупных технологических компаний.
Для проведения атаки хакеру необходимо находиться в зоне действия устройства и иметь возможность подключить свой ноутбук к целевой информационно-развлекательной системе по Bluetooth.
В некоторых случаях подключение возможно без взаимодействия с пользователем, в других - требуется подтверждение пользователя, а иногда и вовсе невозможно.
Как отмечают в PCA Cyber Security, по сути, для того, чтобы PerfektBlue был реализован злоумышленником по беспроводной связи, достаточно одного щелчка мыши со стороны пользователя.
Подробности уязвимостей PerfektBlue были раскрыты OpenSynergy еще в мае 2024 года и получили идентификаторы CVE: CVE-2024-45434, CVE-2024-45431, CVE-2024-45432 и CVE-2024-45433.
Исправления были разработаны и распространены среди клиентов, начиная с сентября 2024 года, несмотря на это, исследователи PCA Cyber Security не стали торопиться и выкатили отчет лишь недавно, дождавшись широкого распространения исправлений.
Пройдя успешную обкатку, схема легализации разведданых по типу TopSec и iSoon превращается в конвейер.
Подкатила очередная порция сливов про «всемогущую империю китайского кибершпионажа», по всей видимости, инициированная теми исполнителями при погонах.
На этот раз через DarkForums были легализованы две партии различных материалов, анализ которых приводят представители SpyCloud.
Первая партия посвящалась компании VenusTech, которая является крупным китайским поставщиком решений для информационной безопасности, ориентированным на госсектор.
Вторая якобы разоблачает ряд компаний, стоящих за атаками APT Salt Typhoon, и их государственных заказчиках.
Примечательно, что оба поста были опубликованы через вновь зарегистрированные аккаунты, которые, по-видимому, именно для этого и предназначались.
Формат и подача материалов реализованы так, чтобы четко был понятен источник их происхождения - объект 1 и объект 2.
Судя по результатам анализа материалов, на этот раз разведка отработала не так четко: представленные образцы, связанные с этими утечками, оказались далеко не так глубоки и обширны, как это было в случае с iSoon или TopSec.
Впрочем, для дальнейшей уже официальной копипасты в отчеты и расследования достаточно.
Microsoft анонсировала июльский PatchTuesday, который включает обновления безопасности для 137 уязвимостей, включая одну публично раскрытую 0-day.
В общей сложности исправлено 14 критических уязвимостей, 10 из которых представляют собой RCE-уязвимости, 1 - уязвимость раскрытия информации и 2 - атак по сторонним каналам AMD.
Общее распределение по категориям представлено следующим образом: 53 - уязвимости EoP, 8 - обхода функций безопасности, 41 - RCE, 18 - раскрытия информации, 6 - DoS, 4 - спуфинга.
В их число не вошли 4 проблемы Mariner и 3 проблемы в Microsoft Edge.
Публично раскрытая 0-day затрагивает Microsoft SQL Server и отслеживается как CVE-2025-49719. Она связана с раскрытием информации и позволяет удаленному неаутентифицированному злоумышленнику получить доступ к данным из неинициализированной памяти.
Неправильная проверка входных данных в SQL Server позволяет неавторизованному злоумышленнику раскрыть информацию по сети.
Администраторы могут устранить эту уязвимость, установив последнюю версию Microsoft SQL Server и драйвер Microsoft OLE DB 18 или 19.
Microsoft приписывает обнаружение этой уязвимости Владимиру Алексичу и не приводит подробностей ее раскрытия.
Microsoft также исправила многочисленные критические RCE-уязвимости в Microsoft Office, которые можно было использовать, просто открыв специально созданный документ или просматривая его через панель предварительного просмотра.
При этом, как отмечает Microsoft, обновления безопасности для устранения этих уязвимостей пока недоступны для Microsoft Office LTSC для Mac 2021 и 2024, но будут выпущены в ближайшее время.
Компания также исправила еще одну критическую RCE-уязвимость в Microsoft SharePoint, идентифицированную как VE-2025-49704, которую можно эксплуатировать удаленно, если у пользователя есть учетная запись на платформе.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
На прошлой неделе в Милане (Италия) был арестован гражданин Китая, которого местные спецслужбы подозревают в связях с APT Silk Typhoon, ответственной за кибератаки на американские организации и правительственные учреждения.
По данным итальянского издания ANSA, 33-летний Сюй Цзэвэй был арестован в миланском аэропорту Мальпенса 3 июля после прибытия рейсом из Китая.
Итальянская полиция действовала согласно международному ордеру, выданному правительством США.
ANSA поясняет, что Сюй выдвинули обвинения в связях с китайской Silk Typhoon, также известной как Hafnium, которая причастна к широкому спектру кибератак против США и других стран в целях кибершпионажа.
В частности, итальянские СМИ освещают связь Сюй с кибератаками Silk Typhoon 2020 года, жертвами которых стали исследователи в области инфекционных заболеваний и из числа организации здравоохранения, а главной целью - кража данных о вакцинах для COVID.
Тогда ФБР и CISA США выпустили совместное консультативное заключение по этому поводу, предупреждая об угрозах исследованиям, связанным с COVID-19.
Хакерская группа также была связана с более поздними кампаниями по кибершпионажу, в том числе в отношении Управления по контролю за иностранными активами (OFAC) Министерства финансов США и Комитета по иностранным инвестициям.
В марте Microsoft сообщала об атаках Silk Typhoon на цепочки поставок с помощью инструментов удаленного управления и облачных сервисов, получая таким образом доступ к сетям нижестоящих клиентов.
Возвращаясь к Сюй Цзэвэй, его поместили в тюрьмю Бусто-Арсицио в рамках начала иницииации процедуры экстрадиции в США, где он должен будет предстать перед судом после всестороннего уголовного расследования.
Будем следить.
🤔📂 По данным DarkEye, якобы полностью рабочий эксплойт 0-day RCE для последней и более ранних версий WinRAR предлагается на продажу за $80 000 на одном из 🎩околохакерских форумов.
🔍 Компания DarkEye обнаружила несколько случаев утечки данных, связанных с WinRAR (http://win-rar.com).
Исследователи Elastic Security Labs выкатили отчет, в котором отметили задействование инструмента пентестеров Shellter Elite v11.0 в кампаниях по распространению инфостилеров, включая Rhadamanthys, Lumma и Arechclient2.
Shellter Elite - это коммерческий загрузчик, используемый пентестерами для скрытного развертывания полезных нагрузок в легитимных двоичных файлах Windows и уклонения от инструментов EDR.
Разработчик инструмента, компания Shellter Project, подтвердил использование Shellter Elite для проведения реальных атак, полагая, что один из клиентов слил копию программного обеспечения.
Поставщик подчеркнул, что это первый известный случай неправомерного использования с момента введения строгой модели лицензирования в феврале 2023 года.
В свою очередь, исследователи Elastic выяснили, что активность началась как минимум с апреля, а метод распространения - через комментарии на YouTube и фишинговые письма.
На основании уникальных временных меток лицензий исследователи предположили, что злоумышленники использовали одну единственную утекшую копию, что впоследствии также официально подтвердила Shellter.
Elastic разработала средства обнаружения для образцов на основе версии 11.0, поэтому полезные нагрузки, созданные с помощью этой версии Shellter Elite, теперь можно обнаружить.
Для решения этой проблемы Shellter выпустила версию Elite 11.1, которую будет распространена исключительно среди проверенных клиентов.
Все бы ничего в этой истории, однако вместо открытых коммуникаций, исследователи до последнего не сообщали Shellter о выявленных злоупотреблениях, которые продолжались в течение нескольких месяцев.
Сам поставщик назвал отсутствие диалога со стороны Elastic Security Labs «безрассудным и непрофессиональным».
Как отметили в Shellter, вместо сотрудничества для смягчения угрозы, в Elastic Security Labs «решили скрывать информацию, отдав приоритет неожиданному разоблачению и публичности над общественной безопасностью».
По всей видимости, в реальности исследователи Elastic Security Labs как раз и преследовали именно эти интересы, и только после индентификации реального нарушителя вне контура разработчика - предоставили Shellter необходимые артефакты.
Последняя тем не менее извинилась перед клиентами и настоятельно заверила, что не сотрудничает с киберподпольем. Но, как говорится, дыма без огня не бывает.
Стремительно развивается расследование киберинцидента с ограблением бразильских банков на сумму в более 540 миллионов бразильских реалов (около 100 млн. долл.), о котором мы сообщали на прошлой неделе.
Атака затронула широко используемую в Бразилии систему мгновенных платежей, известную как PIX, которой пользуются 76,4% населения.
Она была реализована через C&M Software, компанию-разработчика ПО, обеспечивающего взаимодействие с Центробанком по части проведения транзакций PIX через финансовые учреждения.
Как отмечает в полиции Сан-Паулу, названные убытки в размере 100 мон. долл. относятся лишь к одному пострадавшему банку из числа клиентов C&M, а общие убытки могут быть еще выше.
По результатам проведенных мероприятий полицейским удалось выйти на 48-летнего программиста Жуан Назарено Роке, сотрудника C&M, который, предположительно, помог хакерам получить несанкционированный доступ к системам PIX.
По данным полиции, Роке продал доступ к своим рабочим аккаунтам за 900 долл., и затем получил еще 1800 долларов, выполнив запуск вредоносных команд в сети компании.
Хакерам удалось завербовать сотрудника C&M в баре в начале этого года, общение велось и координация осуществлялась по телефону и через Notion.
Хакеры получили таким образом доступ к резервным счетам финансовых учреждений для инициирования множества подставных переводов PIX через интеграционный шлюз C&M, подключённый к национальной инфраструктуре мгновенных расчётов.
Всю активную часть делюги хакеры провернули буквально за одну ночь и конвертировали средства в BTC, ETH и USDT через местные внебиржевые платформы.
Таким образом хакерам удалось выпотрошить шесть банков и похитить по разным оценкам около 185 млн. долл. При этом на средства клиентов банковских учреждений хакеры не посягались.
Полиция пытается идентифицировать других членов группы и полагает, что в кибератаке участвовало по меньшей мере еще четыре человека.
Отследив платежи, силовики совместно с Центробанком Бразилии сумели заморозить преступные транзакции на сумму в 270 млн. реалов (около 50 млн. долл.).
В общей сложности, хакеры смогли отмыть через крипту от 30 до 40 млн. долл. из общей суммы хищения.
На фоне выхода Call of Duty WWII в Game Pass для ПК разгорелся серьезный скандал, связанный с массовыми жалобами со стороны геймеров, которые столкнулись с RCE-атаками на свои системы.
Как сообщает Insider Gaming, злоумышленники, используя уязвимости многопользовательского режима, получают прямой контролья над системами жертв и выполняют произвольные команды на компьютерах пользователей во время игры и стриминга.
Десятки игроков сообщали о появлении на загадочных файлов, всплывающих окнах с выводом контента 18+, перезагрузках ПК и прочих девиациях прямо в ходе игры.
Дело в том, что задействованная в игре устаревшая P2P-архитектура (в отличие от современных игр с выделенными серверами) открывает доступ к IP адресам игроков, создавая предпосылки для подобных атак.
Узнав IP-адрес жертвы, злоумышленник может отправлять ей напрямую специально сформированные сетевые пакеты, мимикрирующие под легитимные игровые данные, но с вложением вредоносной нагрузки.
Так что речи о взломе серверов Activision не идет, хакеры реализуют атаки на клиентскую часть игры, что обусловлено проблемами в реализации механизмов для проверки и фильтрации таких данных.
В свою очередь, Activision отчиталась проведением плановых работ, но официально не подтвердила эксплуатацию RCE-уязвимости.
Впрочем, удивляться не стоит, ведь многие из ее прошлых Call of Duty уже сталкивались с подобными проблемами.
Виртуозную аферу провернули хакеры в Бразилии, сумев через подрядчика взломать и опустошить сразу шесть банков.
Как сообщает Reuters, Центральный банк Бразилии выступил в среду с заявлением, подтверждая инцидент, связанный с компрометацией C&M Software, обслуживающей почти два десятка финансовых учреждений страны, не имеющих собственной транзакционной инфраструктуры.
Подробностей относительно случившегося не разглашают, но всем клиентам C&M было приказано закрыть доступ к управляемой ей инфраструктуре.
В свою очередь, коммерческий директор C&M Software Камаль Зогейб заявил, что компания стала жертвой кибератаки, которая привела к злоупотреблениям учетными данными клиентов в целях доступа к их системам и услугам.
Проникнув в систему C&M, преступник получил доступ к нескольким счетам, включая - самое важное - счет BMP, поставщика банковских услуг, работающего с 1999 года.
При этом в C&M заявляют, что все критические системы остаются полностью работоспособными, инициировано расследование совместно со специалистами Центробанка и полицией штата Сан-Паулу.
По одним данным, убытки оцениваются в 185 миллионов долларов, а ряд источников сообщают, что клиенты не понесли никаких убытков.
Тем не менее Бразильский финансовый институт BMP реализует активную поддержку пострадавшим учреждениям. Клиенты BMP не понесут никаких потерь, поскольку учреждение внесло залог для покрытия украденной суммы.
Насколько критичен инцидент можно судить по прошлогодней валовой выручке BMP, которая составила 804 млн реалов, а чистая прибыль - 231 млн реалов (43 млн. долл.).
Банда вымогателей Hunters International официально объявила о закрытии своей RaaS и анонсировала публикацию бесплатных дешифраторов, которыми могут воспользоваться жертвы для восстановления своих данных без необходимости выплаты выкупа.
Как отмечают участники, решение было принято «в свете последних событий» и нелегко. Тем не менее Hunters International удалили все записи с портала DLS, предоставив жертвам возможность размещения запроса на получение дешифраторов и руководства по восстановлению.
Несмотря на отсылку в своем заявлении на «последние события» в качестве причины своего ухода, их суть так и не раскрывается, но речь по всей видимости идет про усиленное внимание со стороны спецслужб на фоне снижения рентабельности бизнеса.
Исследователи Group-IB в апреле также сообщали, что Hunters International проводит ребрендинг, планируя сосредоточиться исключительно на краже данных и вымогательстве в рамках новой операции, известной как World Leaks.
В отличие от схемы Hunters International с шифрованием и вымогательством, World Leaks действует исключительно в формате вымогательства, задействуя специально разработанный инструмент для эксфильтрации Storage Software.
Hunters International впервые появилась в конце 2023 года и выступала, по мнению исследователей, в качестве потенциального ребрендинга Hive, на что указывало сходство кода.
Вредоносное ПО группы вымогателей нацелено на широкий спектр платформ, включая Windows, Linux, FreeBSD, SunOS и ESXi (серверы VMware), а также поддерживает архитектуры x64, x86 и ARM.
За последние два года хакеры Hunters International атаковали компании различного калибра, требуя выкуп в размере от сотен тысяч до миллионов долларов в зависимости от финансовых показателей жертвы.
За время работы банда взяла на себя ответственность за почти 300 атак по всему миру, что делает ее одной из самых активных RaaS в последние годы.
Среди наиболее известных жертв Hunters International значится Служба маршалов США, японский гигант по производству оптики Hoya, Tata Technologies, AutoCanada, подрядчик ВМС США Austal USA и Integris Health, а также крупнейшая сеть здравоохранения Оклахомы.
В декабре 2024 года банда также взломала онкологический центр Фреда Хатча, угрожая раскрыть украденные данные более 800 000 онкологических больных.
Citrix продолжает бороться с чередой критических уязвимостей, навалившихся на NetScaler, но победить никак не может, страдают, как всегда, клиенты.
Разработанное исправление для недавно обнаруженных уязвимостей приводит к сбоям в работе авторизации на устройствах NetScaler ADC и Gateway.
Дело в том, что начиная с NetScaler 14.1.47.46 и 13.1.59.19 заголовок Content Security Policy (CSP), который снижает риски, связанные с XSS, внедрением кода и другими атаками на стороне клиента, включен по умолчанию.
Политика хоть и предназначена для блокировки выполнения несанкционированных скриптов и внешнего контента в браузере, она также непреднамеренно ограничивает легитимные скрипты или ресурсы, загружаемые конфигурацией DUO на основе аутентификации Radius, интеграций, пользовательских настроек SAML или других конфигураций IDP, не соответствующих строгим правилам CSP.
Как поясняет Citrix, после обновления NetScaler до сборки 14.1 47.46 или 13.1 59.19 клиенты могут заметить проблему, связанная с аутентификацией.
Она может проявляться в виде «сломанной» страницы входа, особенно при использовании методов аутентификации, таких как конфигурации DUO на основе аутентификации Radius, SAML или любого поставщика удостоверений (IDP), который полагается на пользовательские скрипты.
Такое поведение может быть связано с тем, что заголовок Content Security Policy (CSP) включен по умолчанию в этой сборке NetScaler, особенно если CSP не был включен до обновления.
Первая из двух уязвимостей безопасности (CVE-2025-5777 и названная Citrix Bleed 2) позволяет злоумышленникам обходить аутентификацию путем перехвата сеансов пользователей, тогда как вторая (CVE-2025-6543) в настоящее время активно эксплуатируется в DoS-атаках.
Для временного решения Citrix рекомендует администраторам отключить заголовок CSP по умолчанию на затронутых устройствах NetScaler (через пользовательский интерфейс или командную строку) и очистить кэш.
После отключения заголовка CSP администраторам также рекомендуется получить доступ к порталу аутентификации NetScaler Gateway, чтобы проверить, решена ли проблема.
